Klucze dostępu — nowoczesna, odporna na phishing, bezpieczna alternatywa dla haseł — mogą wkrótce stać się łatwiejsze w użyciu na różnych platformach. Zgodnie z nowym projektem specyfikacji opublikowanym przez stowarzyszenie FIDO (Fast Identity Online) Alliance, firmy takie jak Google, Apple i Microsoft, a także aplikacje do zarządzania hasłami, takie jak Dashlane, 1Password i Bitwarden, mogą umożliwić użytkownikom bezpieczne eksportowanie i importowanie kluczy i haseł, umożliwiając im do migracji swoich danych uwierzytelniających do innej usługi (na przykład podczas przełączania z Androida na iOS) zamiast tworzyć nowe.
FIDO Alliance publikuje projekt specyfikacji bezpiecznej wymiany danych uwierzytelniających
Sojusz FIDO wydany w poniedziałek dwa projekty specyfikacji — Credential Exchange Protocol (CXP) i Credential Exchange Format (CXF) — stwierdzając, że zostały one zaprojektowane w celu promowania wyboru, przy jednoczesnym zwiększeniu komfortu użytkownika podczas korzystania z kluczy.
Nowa wersja robocza specyfikacji CXP i CXF została zaprojektowana w celu usprawnienia procesu bezpiecznego przesyłania danych uwierzytelniających, takich jak hasła, klucze i inne informacje. Obecnie większość menedżerów haseł eksportuje dane uwierzytelniające w postaci zwykłego tekstu, zwykle w formie pliku tekstowego CSV, co jest niezwykle ryzykowne.
Chociaż projekt specyfikacji bezpiecznej wymiany danych uwierzytelniających poprawi bezpieczeństwo haseł podczas ich eksportowania, zapewni one pierwszą bezpieczną metodę migracji kluczy dostępu między usługami.
Na przykład użytkownik Bitwarden może mieć możliwość wyeksportowania kluczy przechowywanych w usłudze, a następnie zaimportowania ich na swoje konto Google lub Apple. Proces ten zagwarantuje, że użytkownicy nie będą musieli generować wielu kluczy dostępu do każdej usługi, a jednocześnie ułatwi użytkownikom zmianę platformy.
Warto zauważyć, że może minąć trochę czasu, zanim bezpieczna migracja haseł i kluczy będzie mogła dotrzeć do użytkowników. Aby nowa funkcjonalność była dostępna, te wstępne specyfikacje będą musiały zostać uzgodnione, ujednolicone i wdrożone przez dostawców danych uwierzytelniających. Sojusz FIDO twierdzi również, że akceptuje ocenę społeczności za pośrednictwem GitHuba — programiści i entuzjaści mogą przekazywać opinie na temat projektów specyfikacji.
